Capturar trafico lan por problema troyano.
Robert
robert.chile en gmail.com
Jue Dic 12 21:30:04 CLST 2013
Antonio.
Pero conectar el equipo analizador a la red como uno mas para capturar
tráfico es lo mismo que haga pasar todo el tráfico por el analizador
conectándolo entre el modem-router vtr y mi router ?
Modem-router <---> analizador <---> router <---> todos los equipos de la
red.
Espero se entienda.
El 12/12/2013 21:21, "Antonio Sebastian Salles M." <antonio en salles.cl>
escribió:
> Ahhh!! Entonces conecta el analizador con linux a toda la red y filtra por
> el puerto que envía el spam, que lo más probable sea el 25, 465 o el 587.
> Ahí pone de tu cosecha.
>
> Ej. tcpdump -i $RED src port 25
>
>
> El 12 de diciembre de 2013 19:18, Robert <robert.chile en gmail.com>
> escribió:
>
> > El problema es que nosé cual es el equipo infectado !!! , son 25 equipos
> a
> > diario conectados a la red, por eso necesito capturar todo el tráfico y
> se
> > que con wireshark puedo filtrar por ip y puerto destino para identificar
> > equipo infectado.
> >
> > Gracias.
> >
> > El 12/12/2013 21:13, "Antonio Sebastian Salles M." <antonio en salles.cl>
> > escribió:
> > >
> > > Los dos equipos, el infectado con wintendo y el analizador con linux,
> > > conectalos a un router aislado, completamente desconectado de internet
> y
> > de
> > > los demás equipos. En ese momento ejecuta tcpdump para empezar a
> > trabajar.
> > >
> > >
> > >
> > >
> > > El 12 de diciembre de 2013 19:03, Robert <robert.chile en gmail.com>
> > escribió:
> > >
> > > > Hola antonio.
> > > >
> > > > Gracias por responder, pero como conecto el equipo a la red para
> > capturar
> > > > todo ?
> > > >
> > > > Saludos.
> > > > El 12/12/2013 21:02, "Antonio Sebastian Salles M." <
> antonio en salles.cl>
> > > > escribió:
> > > >
> > > > > RED=eth0
> > > > > tcpdump -i $RED
> > > > >
> > > > > Ahora, te saldrá mucha información, de la cual tienes que ir
> > filtrando.
> > > > Lo
> > > > > mejor que puedes hacer es aislar un PC posiblemente infectado y
> luego
> > > > > empiezas a analizarlo, sino te vas a volver loco.
> > > > >
> > > > >
> > > > > El 12 de diciembre de 2013 18:57, Robert <robert.chile en gmail.com>
> > > > > escribió:
> > > > >
> > > > > > Hola.
> > > > > >
> > > > > > Necesito capturar tráfico de lan por problemas con troyano zbot.
> > > > > >
> > > > > > Este troyano se activa cada cierto tiempo, se conecta a una ip y
> > puerto
> > > > > > identificados, esto provoca que nuestra ip pública ingrese al
> > listado
> > > > de
> > > > > > spamhauss y se nos bloquea el envio de correos pop e imap.
> > > > > >
> > > > > > Los antivirus no lo detectan, por eso necesito ayuda para
> capturar
> > > > > tráfico
> > > > > > de toda la red y lograr identificar el equipo que está infectado
> y
> > > > > > formatearlo.
> > > > > >
> > > > > > Usamos internet vtr con un modem-router el cual va conectado a
> > nuestro
> > > > > > router por cable y a este último se conectan todos los equipos de
> > la
> > > > red
> > > > > > tanto alámbricos como inalámbricos.
> > > > > >
> > > > > > Entonces, que necesito ?, cómo y dónde conecto algo ? (notebook,
> > pc,
> > > > > > router, otro) y como configuro para lograr capturar todo el
> tráfico
> > de
> > > > la
> > > > > > red ?
> > > > > >
> > > > > > Saludos.
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Saludos!
> > > > >
> > > > > Antonio Sebastián Sallés M.
> > > > > [cel] +56-9-8281 71 61
> > > > >
> > > >
> > >
> > >
> > >
> > > --
> > > Saludos!
> > >
> > > Antonio Sebastián Sallés M.
> > > [cel] +56-9-8281 71 61
> >
>
>
>
> --
> Saludos!
>
> Antonio Sebastián Sallés M.
> [cel] +56-9-8281 71 61
>
Más información sobre la lista de distribución Linux